Windows 11 智能应用程序控制在启动前阻止未知可执行文件

Windows 11扩展智能应用程序控制（SAC）扩展了微软的安全堆栈，该组件可在执行前对应用程序进行筛查，并阻止不受信任的代码。该功能与传统的防病毒引擎（如 Microsoft Defender）并存，后者将继续监控系统中的已知恶意软件。通过将积极主动的守门员与成熟的反应式扫描仪相结合，操作系统旨在减少初次感染尝试和挥之不去的威胁。

传统杀毒软件的工作原理是 "在被证明有罪之前是无辜的"。它允许文件运行，然后通过签名数据库、启发式分析和行为监控寻找恶意模式。频繁的定义更新可以保持较高的检测率，但零时差或多态样本可以躲避签名，直到出现可疑行为。这种方法对清除已知威胁仍然有效，但会造成执行和遏制之间的延迟。

智能应用程序控制反其道而行之。在可执行文件启动之前，SAC 会咨询微软的云信誉服务，检查开发者的数字签名，并应用在可信软件和有害软件的大型数据集上训练的机器学习模型。如果声誉未知且文件未签名，或者被预测为恶意软件，操作系统就会直接阻止它。实际上，每一个新程序在被证明无罪之前都是 "有罪的"，这样就能在交付阶段而不是启动之后切断许多攻击。

由于 SAC 会在未知二进制文件加载前将其停止，因此无需对活动进程进行持续的后台扫描。因此，微软的内部测试报告显示，与传统扫描程序相比，SAC 的性能略胜一筹，因为传统扫描程序在实时检查文件时会消耗 CPU 周期。与此同时，Defender 还能继续处理 SAC 无法处理的任务，如宏分析或脚本检查，从而在不重复工作的情况下为组合系统提供广度。

SAC 有一个初始评估期；如果它干扰了日常工作负载，Windows 就会永久禁用它，除非重新安装系统。同样，一旦用户关闭了 SAC，就不能再简单地将其重新打开。因此，依赖未签名或自定义构建的开发人员和高级用户可能会发现这些限制会适得其反，而受管理的企业机群则会从更严格的默认状态中受益。

重要的是，SAC 的设计目的是与 Microsoft Defender 并肩作战，而不是取而代之。如果 SAC 阻止了某个文件，那么这个决定就是最终决定；它不能被列入白名单。Defender 仍负责更深层次的取证任务、恶意软件修复以及扫描磁盘上已存档的内容。在这种分层模式中，SAC 可以降低风险，而 Defender 则可以清除任何漏网之鱼或当前会话之前的内容。